广州日报2019年3月29日讯 不给权限就不让用APP,竞争对手索取了权限自己也“不甘人后”。已经成为消费之痛的“过度索权”背后,是企业漠视个人信息保护心态在全行业蔓延带来的“军备竞赛”。
手机APP“过多索权”仍存在
读取联系人和通讯录,偷偷监控外拨电话,翻看手机通话记录,甚至还开启了录音功能,你的手机也许并不“老实”,甚至即便你安装的手机APP都来自行业领先的“大公司出品”,这些APP的安全性并不能令人完全放心。
上海市消保委近期对网购平台、旅游出行、生活服务等39款市场占有率领先的手机APP涉及个人信息权限评测显示,截至3月23日,有9款手机APP存在索取的权限与功能无法对应的问题,涉及聚美、穷游、猫途鹰、神州租车、百度糯米等。
比如,穷游APP向用户索取“读取联系人”的权限,但并没有提供相应的功能;神州租车APP向用户索取“录音”“监控外拨电话,重新设置外拨电话的路径”等权限,但也并未能提供相应的功能。
此次发布的测评结果,已经是上海市消保委第三次针对手机APP进行的测评,此前已经针对地图类、浏览器类、输入法类以及综合视频类等进行了两轮测评,发现存在数十项无实际功能对照的权限申请,包括读取通讯录、电话权限、短信权限、定位权限等。
上海市消保委秘书长陶爱莲说,在三令五申下,APP过度索权问题依然屡禁不止,即使是来自行业领先大公司的APP问题同样突出,已经成为消费者的新痛点。
“过度索权”四大“怪”
手机APP“过度索权”为何难治?记者调查发现,手机APP过度索权存在四大值得警惕的新趋势。
——“就是不升级”。在多轮测评中发现,手机APP使用的目标API级别过低的问题比较明显。在本轮测评中,百度糯米APP的用户在安装时,由于目标API级别过低,即便并没有相应的使用场景,也“一揽子授权”了包括“读取联系人”“录音”“读取信息”等敏感权限,否则就无法正常使用该APP。
——“假装不知道”。一些企业称,手机APP过度索权是程序员的“锅”。一嗨租车相关负责人表示,企业程序员“开发失误”,“不小心上线了没有使用场景的敏感权限,并没有实际使用该权限”。而猫途鹰则表示企业存在失察的情况,没有主动去检查是否存在索取已经不存在应用场景的权限的问题。
北京捷兴信源信息技术有限公司技术支撑部总经理盛大江指出,当目标API级别低于23时,安卓对于权限会采用一揽子授权的模式,存在可规避系统安全机制的漏洞,安全风险比较大。“是否提升API级别、检查索权是否与使用场景对应,是企业的自主选择。尽管工信部在内的监管部门都在提倡提升目标API级别到28,让用户的信息更加安全,但一些企业可能并没有太多的动力主动去提升。”
——“千年用一次,也得索个权。”记者梳理和采访专家发现,以读取短信权限为例,企业认为索取这一权限可以方便消费者读取短信验证码,但除了高频发送验证码的金融类等少量APP外,大量的APP需要读取验证码的情形“百里挑一”,但却因此获得了如此敏感的权限,消费者的“隐私让渡回报”明显不足。还有一些手机APP在使用过程中不停“骚扰”消费者获取录音权限,但提供的功能却是少有人使用的“语音播报”。
——“用不上,创造条件也要上。”不少手机APP存在索取“非必要权限”的问题。以日历权限为例,测评显示,有10多家手机APP尤其是网购类平台存在获取用户日历的问题。
相关企业在回应消保委时表示,日历权限的索取可以方便消费者了解大促信息,但专家指出,相应的功能完全可以通过后台推送的方式实现,并不需要额外获取和调用日历权限,涉嫌滥用使用场景。“万一明天用上了呢?竞争对手有了我也要有。一些企业觉得,就算现在用不上,无法即时对消费者的数据进行商业化的运用,也要先创造条件占上,‘以备后患’,甚至对标竞争对手‘他要我也要’。”
自我加压索权“明明白白”
陶爱莲指出,希望开发者增强诚信意识,主动作为,更好保护消费者个人信息安全,“上海市消保委将对手机APP过度索权问题密切关注、持续关注。”
一些互联网公司已经在“自我加压”,主动把索取的权限和消费者“说个明白”。比如,最新更新的手机淘宝APP,不仅将向用户索取的权限以及其使用场景一一说明,还明明白白地告诉消费者如果不愿意索取该项权限、可能影响使用的功能,方便消费者做出选择。